Adobe tung ra các bản vá mới cho lỗ hổng ColdFusion đang bị khai thác tích cực

Adobe đã phát hành một đợt cập nhật mới để giải quyết một bản sửa lỗi chưa hoàn chỉnh cho lỗ hổng ColdFusion được tiết lộ gần đây đang bị khai thác tích cực trong tự nhiên.

Thiếu sót nghiêm trọng, được theo dõi là CVE-2023-38205 (điểm CVSS: 7,5), được mô tả là một trường hợp kiểm soát truy cập không phù hợp có thể dẫn đến bỏ qua bảo mật. Nó tác động đến các phiên bản sau:

• ColdFusion 2023 (Bản cập nhật 2 trở về trước)
• ColdFusion 2021 (Bản cập nhật 8 trở về trước)
• ColdFusion 2018 (Bản cập nhật 18 trở về trước)

“Adobe biết rằng CVE-2023-38205 đã bị khai thác trong tự nhiên trong các cuộc tấn công hạn chế nhắm vào Adobe ColdFusion,” công ty cho biết.

Bản cập nhật cũng giải quyết hai lỗ hổng khác, bao gồm một lỗi khử lưu huỳnh nghiêm trọng (CVE-2023-38204, điểm CVSS: 9,8) có thể dẫn đến thực thi mã từ xa và một lỗ hổng kiểm soát truy cập không đúng cách thứ hai cũng có thể mở đường cho việc vượt qua bảo mật ( CVE-2023-38206, điểm CVSS: 5,3).

Tiết lộ được đưa ra vài ngày sau khi Rapid7 cảnh báo rằng bản sửa lỗi được áp dụng cho CVE-2023-29298 chưa hoàn thiện và nó có thể bị các tác nhân độc hại vượt qua một cách tầm thường. Công ty an ninh mạng đã xác nhận rằng bản vá mới đã lấp đầy hoàn toàn lỗ hổng bảo mật.

CVE-2023-29298, một lỗ hổng bỏ qua kiểm soát truy cập, đã được vũ khí hóa trong các cuộc tấn công trong thế giới thực bằng cách xâu chuỗi lỗ hổng đó với một lỗ hổng khác bị nghi ngờ là CVE-2023-38203 để thả vỏ web vào các hệ thống bị xâm nhập để truy cập cửa sau.

Người dùng Adobe ColdFusion được khuyến nghị cập nhật cài đặt của họ lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.

Hương – Theo TheHackerNews